Sensornetzwerke
Sensornetzwerke sind seit mittlerweile einem Jahrzehnt ein Thema, welches weltweit viele Forschungs-bereiche beschäftigt. Seit Jahren gibt es immer neue Protokolle und auch die Hardware ändert sich fort-laufend. Angestoßen wurde die Forschung durch eine militärische Anwendung, bei der miniaturisierte Knoten über Feindesgebiet abgeworfen werden sollen, wobei die Forschung mittlerweile eine gewisse Eigendynamik entwickelt hat. Die Aufgabe der militärischen Knoten ist der Aufbau eines autarken
Netzwerks, welches zur Verteilung der gemessenen Daten genutzt wird. Das auf diese Weise gemein-sam erstellte Bild der Lage kann vom Militär abgerufen werden, indem es zu einem Sensorknoten Kontakt aufnimmt. Probleme, die mit der Miniaturisierung auftreten, beschäftigen die Forschung sehr.
Die Sorge vor eingefügten falschen Knoten oder weitaus potenteren Angreifern, die den ungeschützten Datenverkehr manipulieren, hat die Forschung der Sicherheit in Sensornetzwerken angetrieben. Ein immer noch ungelöstes Problem ist das sichere Routing von Nachrichten durch diese Netzwerke (ISO/
OSI-Schicht 2). Alle bekannten Sicherheitsprotokolle wirken sich auf die darüber liegenden Schichten aus und bekämpfen nur die Symptome. Aber auch die neuen Gefahren, die durch das Verwenden von Meshing (vgl. Abschnitt 2.4.1) eingeführt werden, sind weitere Ansätze für neue Sicherheitsprotokol-le.
Inzwischen gibt es einige wenige Anwendungen, die es sich zu Nutze gemacht haben, dass immer mehr Hardware kostengünstig zu erwerben ist. Umweltmessungen [87] in Wäldern, Gletschern [65] oder an Vulkanen [84] werden vielerorts mit Sensornetzwerken durchgeführt. Erste Innenraumüberwachungs-und Haushaltssteuerungsprojekte [86] werden heute mit Sensorknoten realisiert.
Ein weiterer Forschungsbereich ist in den letzten Jahren aufgekommen: Die Auto-Netzwerke [33, 35].
Dabei sollen Autos zu Netzwerkknoten werden, die Staumeldungen, Meldungen über das eigene Fahr-verhalten, aber auch Dienste wie Internet und Verkehrsleitung anbieten sollen. Wie die anderen an-gesprochenen Anwendungstypen basiert dieses ebenfalls auf Meshing (siehe Abschnitt 2.4.1). Einige existierende Algorithmen und Protokolle können dabei von der „Militäranwendung“ übernommen wer-den, andere müssen neu entworfen werden.
Gleichermaßen verhält es sich mit der Containerüberwachungsanwendung, wie sie von dieser Arbeit vorgestellt wird. Es handelt sich dabei ebenfalls um ein Sensornetzwerk, allerdings nicht um die „typi-sche“ Militäranwendung, sondern um einen Vertreter mit sehr unterschiedlichen Voraussetzungen und Anforderungen. Die sich ergebende Frage ist, wie gut die vielen Sicherheitsprotokolle für Sensornetz-werke für die MASC-Anwendung geeignet sind.
Schlüsselverteilung in Sensornetzwerken
Um verschlüsselte Verbindungen in Sensornetzwerken aufzubauen, ist es wichtig, dass jede Partei den korrekten Schlüssel hat. Daher sind die Schlüsselverteilungsalgorithmen in Sensornetzwerken grund-legender Bestandteil der sicheren Kommunikation. Die folgenden Verfahren sind die bekanntesten Schlüsselverteilungsverfahren der Sensornetzwerkforschung und beschreiben exemplarisch einen si-cherheitsrelevanten Forschungsschwerpunkt. (Vgl. [66])
DasKey Management Scheme for Distributed Sensor Networksvon Eschenauer und Gligor [31] ist ein probabilistischer Ansatz, um bei einer Vielzahl von Knoten paarweise Schlüssel zu verteilen. Gleiches gilt für das Random Key Predistribution Schemes for Sensor Networks von Chan, Perrig und Song [19]. Zhu, Xu, Setial und Jajodia beschreiten mit ihrer ArbeitEstablishing Pair-wise Keys For Secure Communication in Ad Hoc Networks: A Probabilistic Approach[107] einen ganz ähnlichen Weg, wobei
4.2 Analyse bestehender Protokolle
wenig Speicher verwendet wird, was allerdings auf Kosten einer Zufallszahlgenerierung pro Nachricht geht. Hwang und Kim haben mitRevisiting Random Key Pre-Distribution for Sensor Networks[41]
mehr Wert auf Energiesparen gelegt, indem sie eine variable Reichweitensteuerung eingeführt haben.
Andere Papiere stellen deterministische Schlüsselverteilungsverfahren vor. Blundo, Santis, Herzberg, Kutten, Vaccaro und Yung arbeiten bei ihremPerfectly-secure key distribution for dynamic conferences [12] mit zweidimensionalen Polynomen so, dass jeder Knoten mit jedem anderen einen Schlüssel ba-sierend auf der Parameter-Variation dieser Polynome teilt.
Liu and Nings Arbeit Establishing pairwise keys in distributed sensor networks [58] ist ein Hybrid-Schema, welches den probabilistischen Ansatz mit den Polynomen kombiniert.
Law, Corin, Etalle und Hartel bauen mitA Formally Verified Decentralized Key Management Architec-ture for Wireless Sensor Networks[55] verschiedene Cluster auf, von denen einige überwacht sind und einen Anführer haben und andere wiederum gleichberechtigt sind. Die Sicherheit basiert hier auf dem Finden sicherer Routen.
Alle diese Arbeiten versuchen die Schwächen des Meshing auszugleichen. Das Hauptaugenmerk ba-siert auf der Kommunikation der Knoten untereinander. In der MASC-Anwendung muss allerdings die Kommunikation zwischen einem Server außerhalb des Netzwerks mit den Knoten im Netzwerk abgesichert werden. Die Knoten untereinander müssen nicht kommunizieren. Die zahlreichen Schlüs-selverteilungsalgorithmen können also nicht als Basis für den sicheren Tunnel herhalten. Die Schlüssel-verteilung bei der MASC-Anwendung ist auch bereits implizit erfolgt, allerdings muss ein effizientes Protokoll gefunden werden, welches in dem Sensornetzwerk benutzt werden kann.
Kommunikationsprotokolle für Sensornetzwerke
Einen Schritt weiter als die reinen Schlüsselverteilungsalgorithmen gehen die Kommunikationsproto-kolle, die die Schlüsselverteilung sowie die verwendeten Protokolle zusammenfassen. Aus der VPN-Welt ist bereits LEAP bekannt, was von Zhu, Setia und Jajodia inLEAP: Efficient Security Mechanisms for LargeScale Distributed Sensor Networks[107] angepasst wurde. Dieses Sicherheitssystem wäre auf die MASC-Anwendung übertragbar, jedoch teilen sich alle Knoten einen gemeinsamen Schlüssel, auf dem die weitere Verbindungssicherheit basiert. Da beim Containerszenario aber von einem heteroge-nen, nicht-vertrauenswürdigen Umfeld auszugehen ist, passt dieser Ansatz nicht.
Khalil und Bagchi teilen beiSECOS: Scalable and Energy Efficient Crypto On Sensors[46] das Netz in Gruppen ein, die wiederum hierarchisch aufgeteilt werden. Datenaustausch wird immer von der übergeordneten Hierarchie-Stufe kontrolliert. Auch hierbei basiert die Organisation des Netzwerkes auf einem kollaborativen Ansatz, was ebenfalls ungeeignet ist, um im heterogenen Umfeld der Contai-nerüberwachung eingesetzt zu werden.
Die Arbeit SPINS: Security Protocols for Sensor Networksvon Perrig, Szewczyk, Tygar, Wen und Culler besteht aus zwei Protokollen: SNEP undµTESLA. SNEP regelt die sichere Kommunikation mit
der Basisstation undµTESLA sorgt für ein authentifiziertes Broadcasting. Einzig SNEP löst also genau die Aufgabe, die der MASC-ST übernehmen muss. Dies rechtfertigt eine genauere Betrachtung.
4.2.1 SNEP
Container
Gegenstelle MASC-Einheit
NA
Generiere Nonce NA,Startnachricht
( )
,Abbildung 4.1: SNEP (Baustein von SPINS)[68]
Bei SNEP gibt es einen zentralen Server, der mit jedem Sensorknoten das gemeinsame Geheimnis (engl. shared secret) S teilt. Für das Meshing und andere Statusmeldungen ist es wichtig, dass die Knoten auch untereinander kommunizieren können, weswegen ein authentifiziertes Broadcast-Sen-deverfahren benötigt wird. Die gesamte Architektur nennt sich SPINS (Security Protocols for Sensor Networks) [68]. Sie besteht aus zwei Teilblöcken: Der eine sorgt für die verschlüsselte Kommunikation mit dem Server und nennt sich SNEP (Secure Network Encryption Protocol), der andere ermöglicht den authentifizierten Broadcast, ist eine vereinfachte Variante von TESLA [67] und nennt sich µTESLA.
Für Meshing-Zwecke wäre dieser zweite Teil interessant, für den Aufbau des Tunnels jedoch nur der erste Teil. Abbildung 4.1 skizziert dieses Verfahren. Hinzu kommt, dass bei SNEP der Server und die Basisstation die gleiche Partei sind. Dies ist bei MASC nicht der Fall – Broadcasting kann also gar nicht von dem Server mit den geheimen Schlüsseln durchgeführt werden.
SNEP benutzt für den Datentransport von Sabgeleitete Schlüssel. Die Schlüssel sind aber nicht tem-porär, sondern allgemein gültig. Für einen besseren Schutz werden für jede Richtung verschiedene
4.2 Analyse bestehender Protokolle
Schlüssel verwendet. Es gibt daher vier Schlüssel.KABundKBAwerden für die Nutzdatenverschlüsse-lung benötigt,KAB0 undKBA0 sind die jeweiligen richtungsgebundenen Schlüssel für den MAC (Message Authentication Code, Erklärung in Anhang A.2). Der Nonce dient lediglich dem Nachweis der Aktua-lität der Nachricht (engl. „data freshness“). Angewendet auf MASC wäre die ContainereinheitAund die Gegenstelle B.Asendet einen Nonce an B, wobei die folgende Antwort vonBdenselben Nonce wieder enthalten muss. Auf diese Weise werden alte wieder eingespielte Nachrichten erkannt (Schutz vor Replay-Attacken).
Bei SNEP werden keineSitzungsschlüsselerzeugt, sondern die erzeugten Schlüssel für jede Verbin-dung verwendet. Jedoch gibt es nach [60, 12.2.2] vier Gründe für das Verwenden von Sitzungsschlüs-seln: Die Beschränkung der verfügbaren verschlüsselten Nachrichten zur Erschwerung eines kryptana-lytischen Angriffs, die Minimierung der Auswirkungen eines aufgedeckten Schlüssels, das Vermeiden des unnötigen Speicherns vieler Langzeitschlüssel bei gleichzeitiger Rückführung auf ein geteiltes Geheimnis und um eine Unabhängigkeit zwischen den Kommunikationssitzungen zu erzeugen. Dass SNEP keine Sitzungsschlüssel verwendet, disqualifiziert das Verfahren bei der Wahl der Tunnelgene-rierung für die Containeranwendung, bei der die Lebensdauer der Einheiten einige Jahre beträgt und sich daher die Auswirkungen aufgedeckter (Sitzungs-)Schlüssel extrem unterscheiden.
4.2.2 AKEP2
h′ x andere MAC oder Permutation
W
SitzungsschlüsselAbbildung 4.2: Authenticated Key Exchange Protocol 2 (AKEP2)
Als Alternative zu den speziellen Sensornetzwerk-Protokollen wird mit AKEP2 ein Verfahren für ein dynamisches und authentifiziertes Schlüsseletablierungsprotokoll gemäß den Definitionen aus Ab-schnitt A.6 behandelt. Das Handbook of Applied Cryptography [60] stellt mit AKEP2 (abgeleitet aus [7]) ein dynamisches und authentifiziertes Schlüsseletablierungsprotokoll vor. Die schematische Funk-tionsweise ist in Abbildung 4.2 zu sehen. Das Verfahren generiert einen temporären Sitzungsschlüssel W. Nach zwei Nachrichten ist der Sitzungsschlüssel bereits generiert – die dritte Nachricht dient der Authentifizierung des Senders (Container). Das Verfahren basiert auf zwei geteilten Geheimnissen, die beiden Kommunikationspartnern initial bekannt sind. Das eine entspricht dem Schlüssel für die MAC-Funktionen und wirdKbezeichnet. Das andere (S) dient lediglich der Berechnung des temporä-ren Sitzungsschlüssels. Auf diese Weise wird sichergestellt, dass ein Aufdecken des Schlüssels für die MAC-Funktionen nicht zur Folge hat, dass der Schlüssel für die Verschlüsselung aufgedeckt wird. Laut [60, Definition 12.20] kann der Sitzungsschlüssel dabei entweder über eine andere MAC-Funktion oder über eine pseudozufällige Permutation der Eingabewerte berechnet werden.
AKEP2 ist ein Protokoll, welches für zwei gleichberechtigte Partner entworfen wurde. Die Contai-neranwendung ist hingegen asymmetrisch. Ein potenter Server, der sehr viel Strom verbrauchen kann und viel Prozessorleistung besitzt, kommuniziert mit Containereinheiten, die mit einem Prozessor be-stückt sind, der eine sehr geringe Leistungsaufnahme hat und dementsprechend wenig leistungsfä-hig ist. Für diesen speziellen Anwendungsfall bietet AKEP2 noch Verbesserungspotenzial. Die letzte Nachricht, die der Containerauthentifizierung dient, kann weggelassen und implizit durch die erste Nutzdatennachricht ersetzt werden. Dies entlastet den Energieverbrauch, weil auf diese Weise eine ganze Nachricht nicht gesendet werden muss und die Sendeeinheit bekanntlich der größte Energiever-braucher ist.